Le cadre des transferts internationaux de donnees
Tout transfert de donnees personnelles vers un pays situe en dehors de l’Espace economique europeen (EEE) doit reposer sur un mecanisme prevu par le RGPD. En l’absence de decision d’adequation de la Commission europeenne, les clauses contractuelles types (CCT) constituent le mecanisme le plus utilise par les organisations.
Les CCT adoptees par la Commission europeenne le 4 juin 2021 remplacent les anciennes versions. Elles couvrent quatre scenarios de transfert : responsable de traitement vers responsable de traitement, responsable de traitement vers sous-traitant, sous-traitant vers sous-traitant, et sous-traitant vers responsable de traitement.
Mettre en oeuvre les CCT dans la pratique
L’adoption des CCT ne suffit pas a elle seule. L’arret Schrems II de la Cour de justice de l’Union europeenne impose de realiser une evaluation de l’impact du transfert (Transfer Impact Assessment ou TIA) pour verifier que la legislation du pays destinataire n’empeche pas le respect des garanties prevues par les CCT.
Cette evaluation prend en compte la nature des donnees transferees, la finalite du traitement, la legislation et les pratiques du pays tiers en matiere de surveillance gouvernementale, et les mesures supplementaires eventuellement mises en place (chiffrement, pseudonymisation).
Les CCT doivent etre signees sans modification par les parties. Cependant, des clauses complementaires peuvent etre ajoutees tant qu’elles ne contredisent pas les CCT et ne reduisent pas le niveau de protection des personnes concernees.
Le cas particulier des transferts vers les Etats-Unis
Le Data Privacy Framework (DPF) adopte en juillet 2023 permet les transferts vers les entreprises americaines auto-certifiees. Toutefois, la perennite de ce cadre reste incertaine. De nombreux experts anticipent un eventuel arret « Schrems III » qui pourrait invalider ce mecanisme.
Les organisations prudentes maintiennent les CCT en parallele du DPF, afin de disposer d’un mecanisme de repli en cas d’invalidation. Le chiffrement de bout en bout des donnees transferees constitue une mesure supplementaire fortement recommandee par le CEPD.
Les sanctions en cas de transfert non conforme
Les transferts de donnees sans base legale adequate constituent une violation grave du RGPD. La CNIL a prononce plusieurs sanctions significatives pour des transferts non conformes, notamment a l’encontre de responsables de traitement utilisant Google Analytics sans garanties suffisantes.
L’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Au-dela de la sanction financiere, la CNIL peut ordonner la suspension des transferts, ce qui peut paralyser l’activite de l’organisation concernee.
